본문 바로가기
IT&TECH

미국 "새 공공웹사이트, HTTPS기반 서비스 의무화"

@가늘고길게 2017. 1. 20. 14:30
미국에서 새로 만들어지는 공공웹사이트에 HTTPS 암호화 통신이 의무 적용된다. 

정부의 신규 사이트 도메인을 브라우저 업체들에게 전달해, 해당 도메인 기반의 공공웹사이트 운영시 강제로 HTTPS 접속만 제공하도록 만들겠다는 구상이다.



# GSA,정부조직 도메인 신규 등록하여 HTTPS만 접속가능

GSA 계획은 공공웹사이트의 모든 내용을 HTTPS 암호화 통신 기반으로 제공해 최신 브라우저에서 보안 경고를 띄우지 않도록 하겠다는 것으로 요약된다. 최근 주요 브라우저 업체들이 HTTPS 확산에 나서 그에 대비하려는 움직임으로 보인다.


GSA 측은 "새로 등록되는 모든 정부(executive branch)의 .gov 도메인과 그 하위도메인은 최신 브라우저에서 자동으로 강제 HTTPS 통신을 수행케 하겠다"며 "이로써 연방 웹서비스가 더 안전한 통신을 기본으로 삼도록 만들 계획"이라고 밝혔다.


미국은 '닷거브닷거브(dotgov.gov)'라는 사이트를 통해 정부 조직의 도메인 등록을 받고 있다. 

여기에 새로 등록된 도메인은 브라우저 '선탑재(preloading)' 대상으로 신청된다. 브라우저는 이 선탑재된 신규등록 도메인과 그 하위도메인이 HTTPS 통신으로만 접속하게끔 동작한다.



# HTPPS지원 않을 시 공공웹사이트는 접속불가

신규 도메인 기반의 공공웹사이트를 HTTPS 통신 방식으로 지원하지 않으면 어떻게 될까? 

공공웹사이트에서 제공되는 웹서비스가 뭐든지간에, 최신 브라우저 사용자들이 접속할 수 없게 된다. HTTPS 통신을 위한 인증서 경고창을 우회한다든지 할 수도 없게 된다.


간 웹사이트는 HTTPS 통신을 지원하지 않더라도 HTTP로 접속하면 그만이다. 어쩌다 인증서 구성을 잘못했더라도, 방문자가 관련 오류나 인증서 보안 경고창을 접한 다음 우회해 들어갈 수 있다. 그런데 GSA는 적어도 새로 만들어지는 공공웹사이트부턴 이를 불허하려는 분위기다.


이 정책에 따라 향후 신규 미국 연방정부 공공웹사이트는 방문자와 HTTPS 통신을 수행하기 위해 웹서버에 반드시 SSL 인증서를 적용해야 한다. SSL 인증서를 적용하려면 '인증기관(CA)'이라는 자격을 갖춘 민간 인터넷사업자를 통해 SSL인증서를 구매 또는 무료발급 받아야 한다.

상업적인 SSL 인증서를 적용하려면 각 기관에 예상치 못한 비용이 들 수도 있는데, GSA 측은 굳이 큰 예산을 들일 필요는 없다고 강조했다.


GSA 측은 ".gov 도메인 관리자들이 널리 신뢰받는 저가 또는 무료 인증서를 발급받길 권한다"며 "인증서가 더 비싸다고 더 보안성이 높은 건 아니고, 자동 배포되는 무료 인증서도 서비스 관리자의 보안 인식을 명확히 끌어올릴 수 있다"고 덧붙였다.



# 애플과 구글도 준비 중

구글과 애플이 인터넷 암호화통신 HTTPS 사용을 유도하는 움직임을 보이고 있다. 구글은 크롬 브라우저를 통해, 애플은 모바일 앱 스토어를 통해서다.


애플은 모든 앱에 '앱트랜스포트시큐리티(ATS)' 적용을 의무화한다는 계획을 갖고 있다. ATS는 2015년 iOS9부터 도입된 앱용 통신 보안 기능이다. ATS 적용 앱은 모든 인터넷 통신을 HTTPS 방식으로 하게 된다. 애플은 올해 1월1일부터 ATS 적용을 의무화하려 했다가, iOS 앱 개발자의 준비 현황이 미흡하다고 판단해 이를 미뤘다. 적용 시기는 추후 공지 예정이다.


구글은 모든 웹사이트에 HTTPS 적용을 유도하려는 계획을 갖고 있다. 일단 이달중 배포하는 크롬56 버전에 HTTPS 미적용 상태로 로그인 정보나 신용카드 번호같은 결제정보 입력을 하는 웹사이트를 '안전하지 않다'고 표시하기로 했다. 사이트 관리자를 위한 '구글 검색 콘솔'에도 관련 안내를 하고, 향후 이런 표시를 모든 HTTPS 미적용 페이지로 확대할 방침이다.

일반적으로 인터넷을 통해 웹사이트 서버와 방문자 브라우저간 주고받는 통신은 HTTP 방식이고, 여기에 전송계층보안(TLS) 암호화를 적용하면 HTTPS 방식이다. 주요 최신 브라우저는 HTTPS 기반 서비스를 제공하는 사이트 방문시 인터넷 주소창의 왼쪽 옆에 녹색 자물쇠 아이콘같은 표식을 써서, HTTP 기반 웹사이트보다 보안상 안전하다는 점을 알려 주고 있다.


# 아직은 준비중이죠.

http ( hypertext transfer protocol ):인터넷에서 웹 서버와 사용자의 인터넷 브라우저 사이에 하이퍼텍스트 문서를 전송하기 위해 사용되는 통신 규약을 말합니다.

 

https ( hypertext transfer protocol over secure sockets layer ):하이퍼텍스트 전송규약 계층 아래의 SSL서브 계층에서 사용자페이지 요청을 암호화, 복호화 과정을 통해 데이터를 주고 받기때문에 보안상 더 안전합니다.

 

결론적으로 문서를 전달할 때 암호화처리가 되어 있는지 없는지 차이겠죠

그러면 다 https를 사용해야하는데 http로 사용하고 있을까요

장점이 있으면 단점도 있겠죠

바로 암호화에 따른 속도 저하가 생기기 때문입니다.

특히 우리나라 사람들은 느린 인터넷 보면 답이 안나와 하세요

그래서 아직까지 많은 포털 사이트가 http를 사용 중이랍니다.




저작자표시

'IT&TECH' 카테고리의 다른 글

애플, 아마존 오디오북 독점판매 중단 '문호개방'  (0) 2017.01.21
애플, 퀄컴 상대 10억 달러 소송  (0) 2017.01.21
크리스틴 스튜어트가 인공지능으로 논문을 썼다  (0) 2017.01.20
아마존 알렉사 ‘음성비서의 구글’ 꿈꾼다  (0) 2017.01.20
구글, 미국에 개도국 시장용 저가 안드로이드폰 플랫폼 공급  (0) 2017.01.20

'IT&TECH' Related Articles

티스토리툴바